Q&A
- 후킹시 ProcessID알수있는 방법좀~~
안녕하세요...
먼저 제가 코딩한 부분을 올립니다...
function MyProcessHook(Code : Integer; wParam : WPARAM; lParam : LPARAM) : LongInt; stdcall;
var
Buff : array [0..255] of Char;
hProcess: THandle;
g,f : string;
TermSucc: BOOL;
Process32 : TProcessEntry32;
SHandle : THandle; // the handle of the Windows object
Next : BOOL;
ProcId: DWORD;
begin
//요기부터 시스템후킹을 이용하여 MSN메신저가 시작될려고 할때를 체크...
if HProcessHook = 0 then
ReadData;
if (code = HSHELL_WINDOWCREATED) then
begin
GetClassName(wParam, Buff, SizeOf(Buff)); <= 후킹에서 클래스명을 가지고 오기...
if Buff = 'MSBLWindowClass' then <= 클래스명이 MSN메신저에 해당하면
begin
//여기서부터는 작업관리자에 있는 프로세서를 검색해서 실행파일명이 msnmsgr.exe이면
그 프로세서를 강제종료시키기
process32.dwSize := SizeOf(TProcessEntry32);
SHandle := CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if Process32First(SHandle, process32) then
begin// 실행화일명과 process object 저장
repeat
Next := Process32Next(SHandle, process32);
if (Next) and (Process32.szExeFile = 'DWGenie.exe') then
begin
ProcId := DWORD(process32. th32ProcessID);
hProcess := OpenProcess(PROCESS_ALL_ACCESS, TRUE, ProcId);
if hProcess = NULL then
begin
g :='OpenProcess error !';
MessageBox(0,PChar(g),'Hook Message',0);
end;
TermSucc := TerminateProcess(hProcess, 0);
if TermSucc = FALSE then
begin
f :='TerminateProcess error !';
MessageBox(0,PChar(f),'Hook Message',0);
end;
end;
until not Next;
end;
CloseHandle(SHandle); // closes an open object handle
end;
//강제종료끝...
end;
Result := CallNextHookEx(HProcessHook, Code, wParam, lParam);
end;
여기에서 질문이 있는데요...
후킹을 이용해서 해당프로세서의 ProcessID를 알아낼수있는 방법이 없을까요...
만약에 ProcessID만 알아낼수가 있다면 이것보다 더 간단하게 코딩을 할수있을것같은데(OpenProcess와 TerminateProcess을 이용해서)...
도저히 후킹할때 ProcessID를 알아내는 방법을 모르겠습니다...(3일째 고생중~~ㅠㅠ)
만약에 있다면 고수님들의 친절한 답변 기다리고 있겠습니다...
감사합니다...꾸벅~~^^
먼저 제가 코딩한 부분을 올립니다...
function MyProcessHook(Code : Integer; wParam : WPARAM; lParam : LPARAM) : LongInt; stdcall;
var
Buff : array [0..255] of Char;
hProcess: THandle;
g,f : string;
TermSucc: BOOL;
Process32 : TProcessEntry32;
SHandle : THandle; // the handle of the Windows object
Next : BOOL;
ProcId: DWORD;
begin
//요기부터 시스템후킹을 이용하여 MSN메신저가 시작될려고 할때를 체크...
if HProcessHook = 0 then
ReadData;
if (code = HSHELL_WINDOWCREATED) then
begin
GetClassName(wParam, Buff, SizeOf(Buff)); <= 후킹에서 클래스명을 가지고 오기...
if Buff = 'MSBLWindowClass' then <= 클래스명이 MSN메신저에 해당하면
begin
//여기서부터는 작업관리자에 있는 프로세서를 검색해서 실행파일명이 msnmsgr.exe이면
그 프로세서를 강제종료시키기
process32.dwSize := SizeOf(TProcessEntry32);
SHandle := CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if Process32First(SHandle, process32) then
begin// 실행화일명과 process object 저장
repeat
Next := Process32Next(SHandle, process32);
if (Next) and (Process32.szExeFile = 'DWGenie.exe') then
begin
ProcId := DWORD(process32. th32ProcessID);
hProcess := OpenProcess(PROCESS_ALL_ACCESS, TRUE, ProcId);
if hProcess = NULL then
begin
g :='OpenProcess error !';
MessageBox(0,PChar(g),'Hook Message',0);
end;
TermSucc := TerminateProcess(hProcess, 0);
if TermSucc = FALSE then
begin
f :='TerminateProcess error !';
MessageBox(0,PChar(f),'Hook Message',0);
end;
end;
until not Next;
end;
CloseHandle(SHandle); // closes an open object handle
end;
//강제종료끝...
end;
Result := CallNextHookEx(HProcessHook, Code, wParam, lParam);
end;
여기에서 질문이 있는데요...
후킹을 이용해서 해당프로세서의 ProcessID를 알아낼수있는 방법이 없을까요...
만약에 ProcessID만 알아낼수가 있다면 이것보다 더 간단하게 코딩을 할수있을것같은데(OpenProcess와 TerminateProcess을 이용해서)...
도저히 후킹할때 ProcessID를 알아내는 방법을 모르겠습니다...(3일째 고생중~~ㅠㅠ)
만약에 있다면 고수님들의 친절한 답변 기다리고 있겠습니다...
감사합니다...꾸벅~~^^
1
COMMENTS
(NOTICE) You must be logged in to comment on this post.
-
- 델사랑
- 2005.08.09 02:48
- 0 COMMENTS
- /
- 0 LIKES
-
- 이창우
- •
- 2005.08.09 02:04
- 1 COMMENTS
- /
- 0 LIKES
-
이규하•2005.08.09 12:50저도 같은 경우가 있었는데요. 저는 무식 하게 해결 했었습니다. 저 같은경우에는, 같은 테이블을, 여러...
-
- 심요섭
- •
- 2005.08.09 01:10
- 4 COMMENTS
- /
- 0 LIKES
-
최용일•2005.08.09 21:03안녕하세요. 최용일입니다. 델파이의 그리드는 Windows의 Common Control처럼 윈도우메세지를 이용해서 ...
-
심요섭•2005.08.10 00:18답변 정말 감사드립니다... ... 델파이의 다른 컨트롤들은 윈도우 메시지를 이용해서 데이터를 다루지 않...
-
최용일•2005.08.10 03:15안녕하세요. 최용일입니다. 그 프로그램은 API 후킹하는것 같네요... DrawText와 같이 화면에 글씨를...
-
심요섭•2005.08.10 03:41안녕하세요..심요섭이라고 합니다. 연이어지는 답변 정말 감사드립니다. 해당 프로그램은 후킹을 하는 ...
-
- 허버벅
- •
- 2005.08.08 23:51
- 1 COMMENTS
- /
- 0 LIKES
안녕하세요... 먼저 제가 코딩한 부분을 올립니다... function MyProcessHook(Code : Integer; wParam : WPARAM; lParam : LPARAM) : LongInt; stdcall; var Buff : array [0..255] of Char; hProcess: THandle; g,f : string; TermSucc: ...-
박영호•2007.05.24 02:13후킹할때 TerminateProcess 같은 것을 후킹하면 hProcess 를 가로챌 수 있습니다. 죽일려고하는 프로세...
-
- 우소
- 2005.08.08 23:19
- 0 COMMENTS
- /
- 0 LIKES
-
- 김진국
- •
- 2005.08.08 22:36
- 1 COMMENTS
- /
- 0 LIKES
-
유응철•2005.08.10 03:52혹시... 쿼리한 값의 처음부터 찍어야 되는데.. 어떤 작업을 하셔서 EOF에 걸리신것이 아닌가여?
-
- 오야
- •
- 2005.08.08 19:47
- 1 COMMENTS
- /
- 0 LIKES
-
최용일•2005.08.09 20:54안녕하세요. 최용일입니다. Rec_Word_Divide는 메소드가 아니라 변수형(type)이구요. W_length란 값을 R...
-
- 아러브델파이
- •
- 2005.08.08 18:55
- 2 COMMENTS
- /
- 0 LIKES
-
채팅•2005.08.09 16:26인디의 스레드풀 컴포넌트를 사용하면 됩니다. 참고로 인디의 9.x버젼까지의 풀링은 진정한 풀링이라고 ...
-
아러브델파이•2005.08.09 20:14채팅님 답변 너무 감사 드립니다. 제가 질문을 잘 못 작성해서 제가 원하는 답변에서 방향이 벗어났네요...
-
- 김연재
- •
- 2005.08.08 08:33
- 1 COMMENTS
- /
- 0 LIKES
-
KDDG_BaSTaD•2005.08.11 21:54Help 에 있습니다. 아래는 도움말에서 발취한것입니다. <!--CodeS--> // This example shows h...
-
- 이재화
- 2005.08.07 22:12
- 0 COMMENTS
- /
- 0 LIKES
-
- 황유동
- 2005.08.07 21:25
- 0 COMMENTS
- /
- 0 LIKES
-
- 기타맨
- •
- 2005.08.07 00:56
- 1 COMMENTS
- /
- 0 LIKES
-
주웰•2005.08.08 05:08확인해본 결과 Indy 8.0.25버젼은 파라미터가 없네요.(Delphi 6) Indy 9.0.17 이상은 파라미터가 있...
-
- 한준욱
- 2005.08.06 21:00
- 0 COMMENTS
- /
- 0 LIKES
-
- 이재명
- 2005.08.06 19:18
- 0 COMMENTS
- /
- 0 LIKES
-
- 김종곤
- •
- 2005.08.06 18:37
- 1 COMMENTS
- /
- 0 LIKES
-
심재용•2005.08.06 22:46프로그램에서 해쉬값으로 변환해서 저장하는 이유가 있습니다. 해쉬값의 장점이 바로 "원본값"으로의 변...
-
- 서영택
- 2005.08.06 02:59
- 0 COMMENTS
- /
- 0 LIKES
-
- 이종택
- •
- 2005.08.06 02:16
- 2 COMMENTS
- /
- 0 LIKES
-
김성진•2005.08.06 02:27asstring을 asInt64 로 가져오세요 그럼...
-
이종택•2005.08.08 22:41asInt64로 받으니까 undeclared identified..에러가 나는데요.. 잘몰라서..자세히 좀 설명해주세요.. ...
-
- 양승철
- •
- 2005.08.06 02:13
- 1 COMMENTS
- /
- 0 LIKES
-
박상윤•2005.08.26 20:58가장 편한 방법은.. VMR이용해서. 비트맵으로 넣는 것입니다.(DSPack예제에 있습니다) 물론..예전에...
-
- 허버벅
- 2005.08.06 01:36
- 0 COMMENTS
- /
- 0 LIKES
-
- 양승철
- 2005.08.05 23:33
- 0 COMMENTS
- /
- 0 LIKES
죽일려고하는 프로세스의 핸들이 되겠지요..
이 hProcess(타켓 프로그램의 핸들) 만 갖고 PID 를 알아내는데는 GetProcessId 라는 커널단의
함수를 쓰면될것 같지만 GetProcessId 함수는 같은 프로세스내에서만 핸들로 프로세스 아이디를
얻어내는 함수이므로 TerminateProcess 가 실행되는 죽이는자(Killer) 의 공간에서 타켓 프로세스의
PID 를 얻어낼 수 없습니다. 이 문제를 해결하려면 hProcess(타켓 프로그램의 핸들) 을 복사해야
합니다. DuplicateHandle 함수로 타켓 프로그램의 핸들을 복사하는데 이때 속성을
PROCESS_QUERY_INFORMATION 으로 주고 복사를 합니다. 코드는 다음과 같습니다.
HANDLE hDup;
if(!DuplicateHandle(GetCurrentProcess(),
hProcess,
GetCurrentProcess(),
&hDup,
PROCESS_QUERY_INFORMATION,
FALSE,
0))
{
return(0xffffffff);
}
이렇게 핸들을 복사하면 그 다음부터는 매우 쉽습니다. NtQueryInformationProcess 함수가
핸들을 갖고 정보를 뽑아오기 때문이죠.. 다음의 코드를 보십시오. 핸들을 통해서
PROCESS_BASIC_INFORMATION 값을 구조체로 받아옵니다.
구조체를 보시면 아시겠지만 pbi.UniqueProcessId 이렇게 구하면 타켓 핸들의 프로세스 아이디를
얻어낼 수 있구요.. pbi.InheritedFromUniqueProcessId 이렇게하면 타켓핸들의 프로세스 아이디뿐만
아니라 그 부모의 프로세스 아이디까지 얻어낼 수 있습니다.. 도움 되셨길..
예제는 powerhacker 사이트에 올려놨습니다. 제가 삽질했던 부분을 물어보시는거 같아서
삽질 덜 하시라고 올려드립니다.. ^^
DWORD WINAPI PowerHacker_GetProcessId(HANDLE hProcess)
{
NTSTATUS status;
PROCESS_BASIC_INFORMATION pbi;
HANDLE hDup;
if(!DuplicateHandle(GetCurrentProcess(),
hProcess,
GetCurrentProcess(),
&hDup,
PROCESS_QUERY_INFORMATION,
FALSE,
0))
{
return(0xffffffff);
}
CREATE_DYNFUNC_5(NtQueryInformationProcess,
NtQueryInformationProcess,
ntdll,
NTSTATUS,
__stdcall,
HANDLE,
PROCESSINFOCLASS,
PVOID,
ULONG,
PULONG
);
status = NtQueryInformationProcess(hDup, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
CloseHandle(hDup);
if(status >= 0) return pbi.UniqueProcessId;
else return(0xffffffff);
}